nftables 0.9.9 پيڪٽ فلٽر جاري ڪيو ويو آهي. اهو IPv4، IPv6، ARP، ۽ نيٽ ورڪ برجز لاءِ پيڪٽ فلٽرنگ انٽرفيس کي متحد ڪري ٿو (iptables، ip6table، arptables، ۽ ebtables جي متبادل طور تي نشانو بڻايو ويو آهي). ان سان گڏ libnftnl 1.2.0 لائبريري، جيڪا nf_tables سب سسٽم سان لهه وچڙ لاءِ گهٽ-سطح API فراهم ڪري ٿي، هڪ ئي وقت جاري ڪئي وئي آهي. nftables 0.9.9 لاءِ گهربل تبديليون ڪرنل ۾ شامل ڪيون ويون آهن. Linux 5.13-آر سي 1.
nftables پيڪيج ۾ پيڪٽ فلٽر جزا شامل آهن جيڪي يوزر اسپيس ۾ ڪم ڪن ٿا، جڏهن ته ڪرنل-سطح جو ڪم nf_tables سب سسٽم پاران مهيا ڪيو ويندو آهي، جيڪو ڪرنل جو حصو آهي. Linux رليز 3.13 کان وٺي، ڪرنل سطح تي صرف هڪ عام پروٽوڪول-آزاد انٽرفيس مهيا ڪيو ويو آهي، جيڪو پيڪٽس مان ڊيٽا ڪڍڻ، ڊيٽا آپريشن ڪرڻ، ۽ وهڪري ڪنٽرول لاءِ بنيادي ڪارڪردگي فراهم ڪري ٿو.
فلٽرنگ رولز پاڻ ۽ پروٽوڪول مخصوص هينڊلر کي يوزر اسپيس ۾ بائيٽ ڪوڊ ۾ مرتب ڪيو ويندو آهي، جنهن کان پوءِ هي بائيٽ ڪوڊ نيٽ لنڪ انٽرفيس استعمال ڪندي ڪرنل ۾ لوڊ ڪيو ويندو آهي ۽ ڪرنل ۾ هڪ خاص طريقي سان عمل ۾ آندو ويندو آهي. مجازي مشين، BPF (Berkeley Packet Filters) جي ياد ڏياريندڙ. هي طريقو ڪرنل سطح تي هلندڙ فلٽرنگ ڪوڊ جي سائيز ۾ هڪ اهم گهٽتائي جي اجازت ڏئي ٿو ۽ سڀني قاعدن جي تجزيي ۽ پروٽوڪول منطق کي صارف جي جڳهه ۾ منتقل ڪري ٿو.
مکيه جدت:
- نيٽ ورڪ اڊاپٽر پاسي تي فلو ٽيبل پروسيسنگ کي منتقل ڪرڻ جي صلاحيت لاڳو ڪئي وئي، 'آف لوڊ' پرچم استعمال ڪندي فعال ڪيو ويو. فلو ٽيبل پيڪٽ فارورڊنگ رستي کي بهتر ڪرڻ لاءِ هڪ طريقو آهي، جنهن ۾ سڀني قاعدي پروسيسنگ زنجيرن جو مڪمل ٽرورسل صرف پهرين پيڪٽ تي لاڳو ڪيو ويندو آهي، ۽ وهڪري ۾ ٻيا سڀئي پيڪٽ سڌو سنئون فارورڊ ڪيا ويندا آهن. ٽيبل ip گلوبل { فلو ٽيبل f { هوڪ انگريس ترجيح فلٽر + 1 ڊوائيسز = { lan3، lan0، wan } جھنڊا آف لوڊ } چين فارورڊ { قسم فلٽر هوڪ فارورڊ ترجيح فلٽر؛ پاليسي قبول؛ آئي پي پروٽوڪول { ٽي سي پي، يو ڊي پي } فلو شامل ڪريو @f } چين پوسٽ { قسم نيٽ هوڪ پوسٽ روٽنگ ترجيح فلٽر؛ پاليسي قبول؛ oifname "wan" نقاب پوش } }
- ٽيبل تي مالڪ جي جھنڊي کي ڳنڍڻ لاءِ سپورٽ شامل ڪئي وئي، جيڪا پروسيس پاران ٽيبل جي خاص استعمال کي يقيني بڻائي ٿي. جڏهن ڪو پروسيس ختم ٿئي ٿو، ته لاڳاپيل ٽيبل خودڪار طريقي سان ختم ٿي ويندي آهي. پروسيس جي معلومات قاعدن جي ڊمپ ۾ تبصرو طور ڏيکاري ويندي آهي: ٽيبل ip x { # progname nft flags owner chain y { قسم فلٽر ٿلهو ان پٽ ترجيح فلٽر؛ پاليسي قبول؛ ڪائونٽر پيڪٽ 1 بائيٽ 309 } }
- IEEE 802.1ad (VLAN اسٽيڪنگ يا QinQ) وضاحت لاءِ شامل ڪيل سپورٽ، جيڪا هڪ واحد ايٿرنيٽ فريم ۾ ڪيترن ئي VLAN ٽيگ کي متبادل بڻائڻ جي ذريعن کي بيان ڪري ٿي. مثال طور، ٻاهرين ايٿرنيٽ فريم قسم 8021ad ۽ vlan id=342 کي چيڪ ڪرڻ لاءِ، توهان تعمير استعمال ڪري سگهو ٿا ... ether type 802.1ad vlan id 342 ٻاهرين ايٿرنيٽ فريم قسم 8021ad/vlan id=1 کي چيڪ ڪرڻ لاءِ، nested 802.1q/vlan id=2، ۽ IP پيڪٽ کي وڌيڪ انڪپسوليٽ ڪريو: ... ether type 8021ad vlan id 1 vlan type 8021q vlan id 2 vlan type ip counter
- متحد cgroups v2 درجي بندي استعمال ڪندي وسيلن جي انتظام لاءِ سپورٽ شامل ڪئي وئي آهي. cgroups v2 ۽ v1 جي وچ ۾ اهم فرق CPU وسيلن جي مختص ڪرڻ، ميموري مئنيجمينٽ، ۽ I/O لاءِ الڳ درجي بندي جي بدران، سڀني وسيلن جي قسمن لاءِ هڪ عام cgroups درجي بندي جو استعمال آهي. مثال طور، اهو جانچڻ لاءِ ته ڇا cgroupv2 جي پهرين سطح تي ساکٽ جو ابا ڏاڏا "system.slice" ماسڪ سان ملندو آهي، توهان هيٺ ڏنل تعمير استعمال ڪري سگهو ٿا: ... ساکٽ cgroupv2 سطح 1 "system.slice"
- SCTP پيڪٽس جي اجزاء کي جانچڻ جي صلاحيت شامل ڪئي وئي (آپريشن لاءِ گهربل ڪارڪردگي ڪرنل ۾ ظاهر ٿيندي) Linux 5.14). مثال طور، چيڪ ڪرڻ لاءِ ته ڇا هڪ پيڪٽ ۾ 'ڊيٽا' قسم ۽ 'قسم' فيلڊ سان هڪ چنڪ شامل آهي: ... sctp چنڪ ڊيٽا موجود آهي ... sctp چنڪ ڊيٽا قسم 0
- "-f" جهنڊي استعمال ڪندي قاعدن کي لوڊ ڪرڻ جي رفتار تقريباً ٻيڻي ڪئي وئي آهي. قاعدن جي فهرست جي پيداوار کي پڻ تيز ڪيو ويو آهي.
- فليگ ۾ بٽس جي سيٽنگ کي چيڪ ڪرڻ جو هڪ جامع فارم مهيا ڪيو ويو آهي. مثال طور، اهو چيڪ ڪرڻ لاءِ ته snat ۽ dnat اسٽيٽس بٽس سيٽ نه آهن، توهان وضاحت ڪري سگهو ٿا: ... ct status ! snat,dnat اهو چيڪ ڪرڻ لاءِ ته syn بٽ syn,ack بٽ ماسڪ ۾ سيٽ ٿيل آهي: ... tcp flags syn / syn,ack اهو چيڪ ڪرڻ لاءِ ته fin ۽ rst بٽ syn,ack,fin,rst بٽ ماسڪ ۾ سيٽ نه آهن: ... tcp flags != fin,rst / syn,ack,fin,rst
- "verdict" ڪي ورڊ کي سيٽ/نقشي جي ٽائيپ آف تعريفن ۾ اجازت آهي: add map xm { typeof iifname.ip protocol.th dport: verdict;}
جو ذريعو: opennet.ru
